DDoS Detection and Blocking - Help

9 Май, 2016

Здравейте колеги,

от няколко дни съпорта на ISP-то, което ползвам вкъщи ми звъни и ми обяснява, че има голям UDP трафик към мойто IP. Викам айде.. щом втори път звънят ще влезна да проверя. Та какво да видя...

/ip firewall connection print                             

Flags: E - expected, S - seen-reply, A - assured, C - confirmed, 

D - dying, F - fasttrack, s - srcnat, d - dstnat 

 #          PR.. SRC-ADDRESS           DST-ADDRESS           TCP-STATE  

 0  SAC     udp  195.29.228.25:23648   X.X.X.X:53    

 1  SAC     udp  220.166.59.235:28055  X.X.X.X:53    

 2  SAC     udp  198.44.251.195:25405  X.X.X.X:53    

 3  SAC     udp  195.29.228.25:6502    X.X.X.X:53    

 4  SAC     udp  220.166.59.235:30119  X.X.X.X:53    

 5  SAC     udp  188.75.90.104:43692   X.X.X.X:53    

 6  SAC     udp  198.44.251.195:44254  X.X.X.X:53    

 7  SAC     udp  120.25.65.55:1726     X.X.X.X:53    

 8  SAC     udp  72.130.72.31:39948    X.X.X.X:53    

 9  SAC     udp  64.237.35.99:46991    X.X.X.X:53    

10  SAC     udp  62.193.15.145:48508   X.X.X.X:53    

11  SAC  s  tcp  192.168.88.230:51866  191.232.139.253:443   established

12  SAC     udp  220.166.59.235:41407  X.X.X.X:53    

13  SAC     udp  195.29.228.25:55449   X.X.X.X:53    

14  SAC     udp  184.189.253.120:23615 X.X.X.X:53    

15  SAC     udp  123.57.8.102:22127    X.X.X.X:53    

16  SAC     udp  47.90.2.91:107        X.X.X.X:53    

17  SAC     udp  188.75.90.104:43990   X.X.X.X:53    

18  SAC     udp  139.129.144.147:9443  X.X.X.X:53    

19  SAC     udp  195.29.228.25:13126   X.X.X.X:53    

20  SAC     udp  195.29.228.25:7616    X.X.X.X:53    

21  SAC     udp  24.66.28.164:61111    X.X.X.X:53    

22  SAC     udp  115.230.124.22:6902   X.X.X.X:53    

23  SAC     udp  220.166.59.235:33113  X.X.X.X:53    

24  SAC     udp  188.75.90.104:54163   X.X.X.X:53    

25  SAC     udp  103.202.227.8:970     X.X.X.X:53    

26  SAC     udp  195.29.228.25:62366   X.X.X.X:53    

27  SAC     udp  220.166.59.235:35561  X.X.X.X:53    

28  SAC     udp  64.237.35.99:6499     X.X.X.X:53    

29  SAC     udp  103.202.227.8:40833   X.X.X.X:53    

30  SAC     udp  62.193.15.145:58128   X.X.X.X:53    

31  SAC     udp  64.237.35.99:48570    X.X.X.X:53    

32  SAC     udp  220.166.59.235:8320   X.X.X.X:53    

33  SAC     udp  139.129.144.147:16378 X.X.X.X:53    

34  SAC     udp  220.166.59.235:39904  X.X.X.X:53    

35  SAC     udp  72.130.72.31:14134    X.X.X.X:53    

36  SAC     udp  64.237.35.99:25145    X.X.X.X:53    

37  SAC     udp  47.90.2.91:50761      X.X.X.X:53    

38  SAC     udp  198.44.251.195:64779  X.X.X.X:53

X.X.X.X - е моя външен IP адрес.

Става въпрос за 2000-3000 UDP Конекции/

Натоварването на CPU-то е :

system resource monitor 

          cpu-used: 77%

  cpu-used-per-cpu: 77%

       free-memory: 99716KiB

Това, което направих е :
- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.
- Използвах и препоръките от сайта на микротик за DDoS Detection and Blocking. (http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking)
- Блокирах всички вътрешни мрежи, освен тези които не използвам.
- Ъпгрейднал съм до OS 6.34.3
- Всички сървиси са спрени през изходящите интерфейси.

Общо взето каквито и правила да слагам, единствено натоварвам повече RouterBord-a, но атаките не спират. Нямам публикувани услуги през дивайса. Прави ми впечатление, че има и SIP конекции, май си ме използват за стабилен рилей.

Ясно ми е, че доставчика на интернет услугата е най-добре да ме протектне, но честно казано за 30-те лв. на месец, които получават от мен за 100 Mbps, на дали и пръста ще си мръднат.

Ще бъда благодарен за още идеи

Поздрави!

Редактирано 9 Май, 2016 от xrouted

9 Май, 2016

Преди 1 час, xrouted написа:

- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

9 Май, 2016

Преди 1 час, 111111 написа:

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

Прав си да!

За момента овладях положението, да видим до кога!

Ето как:

############################################################################################################################
#### Remove any private subnets that you are not using.                                                                   ##
############################################################################################################################
/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

############################################################################################################################
#### Add your DNS servers to the DNS_Accept list. Remove and DNS servers you are not using for your router.               ##
############################################################################################################################

add address=8.8.8.8/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=8.8.4.4/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.1/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.2/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"


/ip firewall filter
add action=jump chain=input comment="Jump to DNS_DDoS Chain" disabled=no jump-target=DNS_DDoS
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=tcp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=tcp
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=udp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=udp
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=tcp src-address-list=!DNS_Accept
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=udp src-address-list=!DNS_Accept
add action=drop chain=DNS_DDoS comment="Drop DNS_DDoS Offenders" disabled=no src-address-list=DNS_DDoS
add action=return chain=DNS_DDoS comment="Return from DNS_DDoS Chain" disabled=no
/

BTW - ип-то ми беше блеклистнато! Което ме наведе на мисълта да се обадя на доставчика за да ми дадат ново IP, докато ми приемат рекуеста и ме изкарат от блеклиста.

9 Май, 2016

това е безмислено

/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

просто добавяш
при инпут на ВАН интерфейса дроп правило
без да оказваш нищо друго, като над него описваш кое ти трябва като протокол:порт

/ip fi fi

add chain=input in-interface=WAN action=drop comment="Drop everything on WAN"

10 Май, 2016

Отново отворен за DNS рекурсия Mikrotik Ограничи си кои може да те "пита" за всичко. И разкарай отметката "Allow Remote Requests"

10 Май, 2016

Не е от това. Както споменах, нямам нонстоп работещи машини... опобено през деня докато няма никой вкъщи.

Ако махна " Allow Remote Requests ", трябва да набия статички ДНС и няма как да го ползвам борда...

преди 7 минути, stanstanyov написа:

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?

10 Май, 2016

А да имаш някакъв друг рутер зад микротика?

10 Май, 2016

Тц Само един STB но той си е в отделен VLAN

10 Май, 2016

За всеки случай виж с Torch какво става на отделните интерфейси като почне флуда.

11 Май, 2016

Не колега, главоболие не се лекува с рязане на главата. Съветът ти "разкарай отметката "Allow Remote Requests" звучи точно така. Може би човекът иска да си ползва микротика като ДНС-сървър на мрежата, не мислиш ли? И да, такива ДНС-флудове много често започват от някакви вътрешни заявки от мрежата, случвало ми се е многократно.

Проблемът се решава лесно с прост филтър, между впрочем, но нали е добре да се разбере какво го е предизвикало все пак? Адресите по-горе са китайски естествено, може да се направи и динамична блок адрес-листа, ако пък някой много държи да му е отворен днс-а и навън.

11 Май, 2016

Преди 19 часа, Mihail Peltekov написа:

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP

хем съгласен хем не

има доставчици с невероятно стари записи по скоро гугъл и опен днс да се ползват

Цитат

8,8,8,8 и 8,8,4,4

208.67.222.222
208.67.220.220

12 Май, 2016

Горе долу преди година се сблъсках с една атака http://sheki.zlatograd.com/blog/how-to-drop-outside-dns-requests-on-mikrotik-router/

12 Май, 2016

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

12 Май, 2016

Преди 5 часа, xrouted написа:

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

Аз ти казвам, че вътрешен компютър го прави това... Провери ли с Torch какво имаш на интерфейсите, както ти казах?

10 Май, 2016

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?

10 Май, 2016

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP

Вход

DDoS Detection and Blocking - Help

Въпрос

xrouted

Адрес на коментара

Сподели в други сайтове

16 отговори на този въпрос

Recommended Posts

111111

Адрес на коментара

Сподели в други сайтове

xrouted

Адрес на коментара

Сподели в други сайтове

111111

Адрес на коментара

Сподели в други сайтове

Mihail Peltekov

Адрес на коментара

Сподели в други сайтове

xrouted

Адрес на коментара

Сподели в други сайтове

stanstanyov

Адрес на коментара

Сподели в други сайтове

xrouted

Адрес на коментара

Сподели в други сайтове

stanstanyov

Адрес на коментара

Сподели в други сайтове

stanstanyov

Адрес на коментара

Сподели в други сайтове

111111

Адрес на коментара

Сподели в други сайтове

Велин

Адрес на коментара

Сподели в други сайтове

xrouted

Адрес на коментара

Сподели в други сайтове

stanstanyov

Адрес на коментара

Сподели в други сайтове

stanstanyov

Адрес на коментара

Сподели в други сайтове

Mihail Peltekov

Адрес на коментара

Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

Създайте акаунт

Вход

Потребители разглеждащи страницата 0 потребители

Форум

Активност

Important Information